Questa pagina descrive le norme preventive e di rilevamento incluse nella versione 1.0 del modello di postura predefinito per le reti Virtual Private Cloud (VPC), esteso. Questo modello di postura include due insiemi di norme:
Un insieme di norme che include i vincoli dei criteri dell'organizzazione che si applicano alle reti VPC.
Un insieme di norme che include i rilevatori di Security Health Analytics che si applicano alle reti VPC.
Puoi utilizzare questo modello di postura predefinito per configurare una postura di sicurezza che contribuisca a proteggere le reti VPC. Se vuoi eseguire il deployment di questo modello di postura predefinito, devi personalizzare alcune norme in modo che si applichino al tuo ambiente.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i vincoli dei criteri dell'organizzazione inclusi in questa postura.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
compute.skipDefaultNetworkCreation |
Questo vincolo booleano disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, assicurando che le regole di rete e firewall vengano create intenzionalmente. Il valore è
|
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo booleano limita l'accesso degli IP pubblici a istanze e notebook di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai notebook di Vertex AI Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo vincolo booleano disabilita la virtualizzazione nidificata per tutte le VM di Compute Engine per ridurre il rischio per la sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.vmExternalIpAccess |
Questo vincolo dell'elenco definisce le istanze VM di Compute Engine che possono
utilizzare indirizzi IP esterni. Per impostazione predefinita, tutte le istanze VM possono utilizzare indirizzi IP esterni. Il vincolo utilizza il formato
Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictVpcNetworks |
Questo vincolo dell'elenco definisce le reti VPC che l'utente può selezionare quando crea nuove istanze Vertex AI Workbench in cui questo vincolo è applicato. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.vmCanIpForward |
Questo vincolo dell'elenco definisce le reti VPC che un utente può selezionare quando crea nuove istanze Vertex AI Workbench. Per impostazione predefinita, puoi creare un'istanza Vertex AI Workbench con qualsiasi rete VPC. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevatori di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nel modello di postura predefinito. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore verifica se il logging DNS è abilitato nella rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Questo rilevatore verifica se la proprietà |
Visualizza il modello di postura
Per visualizzare il modello di postura per le reti VPC, esteso, procedi nel seguente modo:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Esegui il
gcloud scc posture-templates
describe
comando:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.